기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사용자 풀이 있는 SAML ID 제공자 사용
웹 및 모바일 앱 사용자가 Microsoft Active Directory 페더레이션 서비스
호스팅된 UI 및 페더레이션 엔드포인트를 통해 Amazon Cognito는 로컬 및 타사 IdP 사용자를 인증하고 웹 토큰 () 을 발행합니다. JSON JWTs Amazon Cognito에서 발급하는 토큰을 사용하면 모든 앱에서 여러 자격 증명 소스를 범용 OpenID Connect OIDC () 표준으로 통합할 수 있습니다. Amazon Cognito는 타사 공급자의 SAML 어설션을 해당 표준으로 처리할 수 있습니다. SSO Amazon Cognito 사용자 풀에서 AWS Management Console, 를 통해 또는 Amazon Cognito 사용자 풀을 AWS CLI사용하여 SAML IdP를 생성하고 관리할 수 있습니다. API 에서 첫 번째 SAML IdP를 만들려면 AWS Management Console을 참조하십시오. 사용자 풀에 SAML ID 제공자 추가 및 관리
참고
타사 IdP를 통한 로그인과의 페더레이션은 Amazon Cognito 사용자 풀의 기능입니다. Amazon Cognito 페더레이션 자격 증명이라고도 하는 Amazon Cognito 자격 증명 풀은 각 자격 증명 풀에서 개별적으로 설정해야 하는 페더레이션을 구현한 것입니다. 사용자 풀은 자격 증명 풀의 타사 IdP가 될 수 있습니다. 자세한 내용은 Amazon Cognito 자격 증명 풀 단원을 참조하십시오.
IdP 구성에 대한 빠른 참조
요청을 수락하고 사용자 풀에 응답을 보내도록 SAML IdP를 구성해야 합니다. SAMLIdP 설명서에는 사용자 풀을 2.0 SAML IdP의 신뢰 당사자 또는 애플리케이션으로 추가하는 방법에 대한 정보가 포함되어 있습니다. 다음 설명서에는 SP 엔티티 ID 및 어설션 소비자 서비스 () 에 제공해야 하는 값이 나와 있습니다. ACS URL
사용자 풀 SAML 값 빠른 참조
- SP 개체 ID
-
urn:amazon:cognito:sp:
us-east-1_EXAMPLE
- ACS URL
-
https://
Your user pool domain
/saml2/idpresponse
ID 공급자를 지원하도록 사용자 풀을 구성해야 합니다. 외부 SAML IdP를 추가하는 상위 단계는 다음과 같습니다.
-
IdP에서 SAML 메타데이터를 다운로드하거나 메타데이터 URL 엔드포인트로 검색하십시오. 타사 ID 제공업체 SAML 구성을 참조하세요.
-
사용자 풀에 새 IdP를 추가합니다. 메타데이터를 업로드하거나 SAML 메타데이터를 URL 제공합니다. 사용자 풀에 SAML ID 제공자 추가 및 관리을 참조하세요.
-
앱 클라이언트에 IdP를 할당합니다. 사용자 풀 앱 클라이언트 부분 참조
주제
SAML사용자 이름의 대소문자 구분
연동 사용자가 로그인을 시도하면 SAML ID 공급자 (IdP) 는 사용자 어설션에서 Amazon Cognito에 NameId
고유한 데이터를 전달합니다. SAML Amazon Cognito는 클레임으로 SAML 페더레이션 사용자를 식별합니다. NameId
사용자 풀의 대소문자 구분 설정에 관계없이 Amazon Cognito는 고유한 대소문자 구분 클레임을 통과하면 SAML IdP에서 돌아온 페더레이션 사용자를 인식합니다. NameId
email
과 같은 속성을 NameId
에 매핑하고 사용자가 자신의 이메일 주소를 변경하는 경우 해당 사용자는 앱에 로그인할 수 없습니다.
값이 변하지 않는 IdP 속성의 SAML 어설션을 NameId
매핑하세요.
예를 들어, Carlos는 대소문자를 구분하지 않는 사용자 풀에 값을 전달한 Active Directory 페더레이션 서비스 (ADFS) SAML 어설션의 사용자 프로필을 가지고 있습니다. NameId
Carlos@example.com
Carlos가 다음 번에 로그인을 시도하면 ADFS NameId
IdP가 값을 전달합니다. carlos@example.com
NameId
는 대/소문자를 정확하게 구분해야 하기 때문에 로그인이 실패합니다.
사용자가 NameID
변경 이후에 로그인할 수 없는 경우 사용자 풀에서 해당 사용자 프로필을 삭제합니다. Amazon Cognito는 이러한 사용자가 다음에 로그인할 때 새 사용자 프로필을 생성합니다.